May 27, 2009

論文: Defeat Spyware with Anti-Screen Capture Technology Using Visual Persistence

画面をCaptureする能力を持つスパイウェアに対抗する方法を提案した論文

Lim, J.,
Defeat spyware with anti-screen capture technology using visual persistence.
In Proceedings of the 3rd Symposium on Usable Privacy and Security (Pittsburgh, Pennsylvania, July 18 - 20, 2007). SOUPS '07,
vol. 229. ACM, New York, NY, 147-148. DOI= http://doi.acm.org/10.1145/1280680.1280701

「スパイウェアは、画面表示のとある一瞬しかcaptureしない」という想定での対策手法で、いわゆる人間の視覚特性である「残像」を応用した提案

visualPersistence.png

- 上の図を説明すると、4という数字を3つの画像に分解し、それを交互に画面に表示する.人間の視覚には残像が残るので、4という文字が認知できるが,一瞬の画面表示しかcaptureしないスパイウェアには何を入力したのかがわからないという手法.
-- spywareが、なんらかのevent drivenにより静止画をcaptureするのならば、この方法でよいが、画面の様子を動画としてcaptureしたり、連続して静止画を記録する場合には保護できない...
- が、モニターのrefreshレートに応じて画像を記録するのは、計算リソースを少なからず消耗し、それゆえspywareが発見されるリスクが大きくなるから困難と想定(文献 3)

- 入力した文字を保護する手法というのが特許として出されていて,それを応用したもの(文献 2)
- サーバ側で画像を分解して、クライアントに送付する手法(いわゆるweb-base)なので、ブラウザやクライアントのin-memory hackingにも耐性があるとか、key/mouse loggerでも秘密は漏洩しない.またユーザの計算機にソフトウェアをインストールする必要もないとか...
- オンラインでのクレジットカード番号入力とかに良いと考えている
- 確かにユーザ側としては、なんの追加作業もいらないし、これまでと同様に画面を見て操作すれば良いので簡単だし、導入に対するユーザ側の負担は0に近いのは確か.

Posted by z at 11:49 PM

May 18, 2009

安全と安心と人の感覚...

最近、3つの記事で寺田寅彦氏の示唆に富む「文書」を目にしたので残しておく.

「ものをこわがらな過ぎたり
こわがり過ぎるのはやさしいが
正当にこわがることは
なかなかむつかしい」

はじめは、詩だと思っていました. 随筆集だから「詩」ではないという理解でいいのかな?

寺田寅彦 - 小爆発二件 - 昭和10年01月

3つの記事とは、以下に挙げる記事である.

- 新型インフルエンザの現状と対策 - 岡部信彦氏 - 時の人/あらたにす (2009/05/16)

- 「集中豪雨的」報道になっていないか? - あらたにす (2009/05/18)

- 第31回 安全と安心 - 増井俊之氏の「界面潮流」 (2009/05/11)

Posted by z at 11:57 PM

May 14, 2009

やっと実現された! 個人認証利用者への利用通知機能

2003年の「あわせ絵」に関する論文で「個人認証の利用状況を、利用者にフィードバックとして通知し、第三者に自分の認証アカウントが不正利用されていないかを、利用者自身が知る事が重要」と主張してから早6年、ようやく商用システムの運用者にも、同じ思いを持つ人が出てきてくれた事を、非常に嬉しく思いました

- ログインアラート - Yahoo! JAPAN IDガイド - YAHOO! Japan

- ヤフー、Yahoo! JAPAN IDの不正利用防止する「ログインアラート」機能提供 - MYCOM (2009/05/13)

- 「Yahoo! JAPAN ID」にログイン通知機能を追加。不正利用対策で - INTERNET watch (2009/05/13)

素晴らしい事です.これで個々の利用者が、自分のアカウントとパスワードの管理/運用に対して、高い意識を持てるようになる「手段」が提供されたと言えるのではないだろうか?

Yahoo!のユーザなら、即、有効になるよう設定しなおすべし

Posted by z at 02:54 AM

May 13, 2009

Cloud Computingにおけるセキュリティ

クラウドコンピューティングにおけるセキュリティについての様々な意見を書き留めておく

個人的に一番同感できるのはこれ!

クラウドのセキュリティは「信じること」 - PC Online (2009/04/21)

その他、記事リンク

- クラウドの活用に影を落とすプライバシー/セキュリティ問題 - TECHWORLD (2008/10/27)
- クラウド コンピューティングが抱える7つの"セキュリティリスク" - サービス利用の前にサードパーティへの評価依頼を検討すべき - Computer World (2008/07/03)
- クラウドに対する"過剰な"セキュリティ不安を払拭しよう - クラウドの導入において本当に懸念すべき要素とは - Computer World (2009/03/02)
- クラウドコンピューティングにおけるセキュリティ - ITmedia (2009/05/06)
- クラウドコンピューティングにかかる通信回線の脆弱性という雲 - ITmedia (2009/04/10)
- 三菱UFJ証券の漏えいで改めて考えるデータ管理、機密データをあえてクラウドに置いてみる? - ITmedia (2009/04/09)
- ネットの逆流: クラウドによるデータ集中と、その危険性を考える - ITmedia (2008/12/30)
- クラウド化する社会でプライバシーはどう扱われるのか? ETRE'08 - MYCOM (2008/12/01)
- クラウド普及の課題(1) セキュリティ - ITmedia (2008/10/27)


- クラウドのセキュリティに関する団体「Cloud Security Alliance」が発足 - MYCOM (2009/04/03)

Posted by z at 01:44 AM

May 06, 2009

画像認証「あわせ絵」のデモシステム 小改良

当方が提案している画像を用いた個人認証システム「あわせ絵」のデモシステムを公開しているのですが、そのデモシステムに致命的な欠陥があったまま放置していたのをようやく改修したのでお知らせします.

あわせ絵: 認証画面スナップショット
awasee-Demo.png


是非一度、お試し頂ければ幸いです
あわせ絵: 体験版デモシステム

致命的な問題とは、ユーザ名の入力です(致命的と言っておいて、そんな些細な事で申し訳ありません).
これまでは、あわせ絵認証を試して頂く前に、ユーザ名を文字列として入力する必要がありました.
一応デモの説明ページには、下記のように"awasee"と入力して下さいと指示しているのですが、多くの訪問者はこれを読んでくれないようで、なかなかデモを体験して頂けない状況にあったようです.(という指摘を頂いた)

inputPrompt.png


これではいかんということで、最近のOperating Sysemのログイン画面にありがちな、画像アイコンをクリックすることでユーザ名を指定する方法に変更しました(これまた些細な変更だな).

- 変更前 (ユーザ名を文字列としてログインする方法)
awsloginBefore.png


- 変更後: (3つあるユーザアイコンをクリックしてユーザ名を指定)
awsloginAfter.png


というわけで、より多くの人にお試し頂ければ幸いです.

なお、備考として以下の3点をお知らせしておきます.

- 3つのユーザアイコンが用意されていますが、どれをクリックしても同じように認証が始まります.またどのユーザで認証を始めてもパス画像がどれも同じなのは、デモシステムとしてのご愛嬌としてご理解頂ければ幸いです.
- また携帯電話からの利用は携帯電話のスペックによっては利用かもしれませんが、当方としては動作確認を行っておりません. お手数ですが、計算機からご利用頂きますようお願いいたします. (ただし、iPod touchでは動作しました. なのでiPhoneでも動作すると思われます(webブラウザ経由)).
- FirefoxおよびSafari(ただしversion 3.x)での動作確認をしておりますが、他のWebブラウザにつきましては動作確認をしておりません. お手数ですが、上記のどちらかのWebブラウザからお試し頂きますよう、あわせてお願い申し上げます

まだまだ面倒な点がありますが、目新しい個人認証としてお試し頂ければ幸いです

Posted by z at 06:30 PM

May 03, 2009

面白かった記事3つ - 会誌 情報処理 2009/04号

情報処理学会会誌 2009/04号に、面白い記事があったのでメモしておく

会誌「情報処理」 Vol.50, No.4 - 情報処理学会

面白かった(個人的に興味がわいた)のは、以下の3つ

1. タッチパネル方式によるヒューマンインタフェースの研究最前線

iPhone / iPod touchによって本格的に普及が始まったタッチパネル時代(?)ですが、そのインタフェースのサーベイ記事です.Microsoft ResearchのShift(CHI 2007)やLucidTouch(UIST 2007)は常識として知っておくべきだろう.

2. リコメンド・サービス・コンテスト実施報告

Webサービス関係のコンテストがいろいろ(?)と行われているのは知っていたのですが、規定課題が決められていて、それに取り組むコンテストというのは、この記事で初めて知りました.学生を対象としてこういうことをやるのは面白いと思う.こういうコンテストはどんどん実施するとともに、これを論文と同等の業績に扱うような仕組みがあるといいかなと思った.

3. 実利用が進む顔画像処理とその応用事例:(前編)顔画像処理技術の動向

最近のデジカメや携帯電話のCMを見ていて、なんとなくは知っていましたが、記事を読んで、知らないうちにすごいことになっているなと思いました.
今後は顔属性推定といって、写真(映像データ)から人種や性別そして年齢まで推定しうる技術の開発も進められているとのこと.いや、こういう技術がすでにあるということを知っておいた上で、何ができるか、何が起きるかを考える必要があるなと思ったり.2回にわたる記事なので、次回も読まないと! と思いました.

Posted by z at 08:56 PM